「ゼロトラスト」とは?初心者にもわかりやすく解説します
「ゼロトラスト」という言葉を聞いたことがあるでしょうか? ゼロトラストとはセキュリティの考え方で、インターネットや、もっと広く「通信」が様変わりしたことによって、ゼロトラストが実践されているセキュリティシステムが増加しています。 なんだか難しい話になりそうですね。 この記事では、「ゼロトラスト」がどういった考え方なのかを、ITにそこまで強くない方にもわかりやすく解説します。 加えて、「ゼロトラスト」がどうして必要になったのか、そして「ゼロトラスト」を導入することで生じるメリット・デメリットについても説明します。
ゼロトラストとは
ゼロトラストとは[/caption] ゼロトラストとはどういったものなのでしょうか。 いままでのセキュリティとの違いと合わせて解説します。
何も信頼しないセキュリティ
「ゼロトラスト」とは、言葉の意味そのままに「何も信用しない」を根幹としたセキュリティの考え方です。 正式には「ゼロトラストセキュリティモデル」で、海外では「ペリメーターレスセキュリティ」とも呼ばれ、ITシステムの構成や実装全般に広がるセキュリティ構築手法を指します。 つまり、システムを作るときに「何も信用しない」をルールにしてやっていこうということです。 ゼロトラストによるセキュリティ対策の例として、すべての通信の暗号化や、生体認証・二段階認証によるユーザー認証の強化、ネットワーク全体の監視、ネットワークに接続された機器の通信ログを監視するなどがあります。 生体認証とは、その人に固有な身体の情報でユーザー認証を行うことで、顔認証や指紋認証などがあります。 二段階認証の例としては、アプリケーションやWebサービスにログインするとき、まずIDとパスワードを入力して、それが一致したらSMSに書かれたコードを入力してユーザー認証を完了するというのがあります。
いままでのセキュリティとの違い
これまでのセキュリティは、行われる通信を、内側からの「信用できる」通信と、外側からの「信用できない」通信に分けて、「信用できない」通信のみを監視するという考え方でした。 これは内側と外側の「境界」を監視すると表現して、このような従来のセキュリティを「境界型セキュリティ」と呼ぶこともあります。 境界型セキュリティでは、外側から(多くはインターネットから)内側へのアクセスのあいだにファイアウォールなどのセキュリティシステムを置くことで、セキュリティ対策を行っていました。 つまり、前提として 「ファイアウォールさえしっかりとしていれば、社内での通信など、その他のことには警戒する必要がない」 という考え方が元になっています。 しかしゼロトラストでは、外からのアクセス以外にも、例えば社内LANなど、身内からのアクセスであっても、通信元の内外を問わず、何も信じず、すべての通信を検証します。
EDR(Endpoint Detection and Response)
ゼロトラストの考え方によるセキュリティ対策方法として、近年、「EDR(Endpoint Detection and Response)」というものが注目されています。 また、EDRを取り入れたセキュリティソフトウェアをEDR製品と呼びます。 EDRは、「通信をすればコンピュータウイルスは侵入する」という前提で行動します。 PCやスマートフォンなどの通信端末といったエンドポイント(私たちが日常使う通信機器)でセキュリティ上の脅威を検知し、それへのセキュリティ対策を支援するものです。 通信端末内でのプログラムを監視することは、ゼロトラストなセキュリティを構築する上で非常に重要な作業です。
ゼロトラストはなぜ必要になったか
ゼロトラストはなぜ必要になったか[/caption] 前のセクションでは、ゼロトラストの概要を解説しました。 ところでゼロトラストという考え方は、どうして必要になったのでしょうか。 そこには、IT技術の進歩があります。
データ管理方法の変化
これまでは、社内データなどは自社サーバーに保存していました。 このように、保護したい情報は管理する人物や団体の「内部」にありました。 しかし、現在はクラウドサービスの普及により、重要なデータであっても、クラウドサービスを運営する企業のサーバーなどの「外部」にあることが多くなりました。 保護したい情報が「内部」にあるのなら、外側からの通信のみを監視すれば、たいていの場合は事足りています。 ですが、このように保護したい情報が「外部」にある場合は、すべての通信を疑ってかかる必要があります。 さらに、たくさんのデータをクラウドサービスによって管理することで、保護したい情報が複数のサーバーに分散され、「内側」と「外側」の違いが曖昧になってきました。 このように、時代の流れでデータ管理の方法が変化したことによって、ゼロトラストという考え方にもとづくセキュリティ対策が必要になったのです。
サイバー攻撃の多様化
時代の変化によって、サイバー攻撃も多様化しました。 なかでも、マルウェアの増加は、セキュリティ対策において深刻な問題となっています。 マルウェアは、コンピュータウイルスやワーム、トロイの木馬など、悪意のあるコンピュータプログラム全般を指す言葉です。 マルウェアの多くは、害のないファイルやソフトウェアに偽装して入り込みます。 これまではファイアウォールやセキュリティソフトなどで外側からの不正なアクセスの遮断や、不審なソフトウェアを実行させずに削除するなどで対策していました。 しかし、時代が進むにつれ、そういったセキュリティシステムが対応できない未知のマルウェアが爆発的に増加しました。 たとえデータを保管している内側であっても、一度マルウェアに感染すると、重要なデータを外部へ送信してしまう危険があります。 このように、以前の方法では対応しきれないサイバー攻撃が増加したことで、外側からの通信を監視するだけでは不十分になり、ゼロトラストによるセキュリティが広がっているのです。
通信の多様化
現在は、企業の業務においてもスマートフォンやタブレットなどを使うことが珍しくありません。 社外でそうしたモバイル通信機器を使って作業をするとき、通信はWi-Fiによって行われるようになりました。 この場合、これまでの境界型セキュリティでセキュリティ対策を講じていても、その「境界」を通るような通信が行われるとは限りません。 こうした通信の多様化も、「内側」と「外側」という仕切りを曖昧にし、これまでのセキュリティ対策の効果が薄くなったのです。
ゼロトラストの実例
ゼロトラストの実例[/caption] ゼロトラストの実例として、富士通とNTTによるセキュリティサービスを少し紹介します。
富士通:Zero Trust Network
富士通では、端末、ネットワーク、アプリ・ワークロード、マネジメントそれぞれに対するゼロトラスト・ソリューションを提供しています。 例えば端末であれば、生体認証やEDR製品に加え、リアルタイムでのエンドポイントの状態を可視化するなどのサービスがあります。
NTT:ゼロトラストネットワークソリューション
NTTでは、ゲートウェイ、統合認証基盤などのセキュリティサービスに加え、リモートアクセス、マネジメントなどへのセキュリティ対策を提供しています。 特に、ここ数年で増加したテレワークに特化したサービスだと言えます。 幅広いパートナー連携により、様々なゼロトラストセキュリティサービスを提供しています。 公式サイトによると、金融業界での導入例が多いとされています。
ゼロトラストのメリット
ゼロトラストのメリット[/caption] ここからは、ゼロトラストのメリット・デメリットを解説します。 まずはメリットからです。
セキュリティの向上・効率化
サイバー攻撃の多様化によって、ファイアウォールやウイルス対策ソフトなど、これまでのセキュリティ対策では対応できない脅威が増加しています。 ゼロトラストセキュリティによって、これらの新たな脅威に対処することが可能になりました。 また、監視する範囲を全体に広げることが、セキュリティの大幅な向上につながります。 そのほか、これまでは物理的なIDや固定のアプリケーションでユーザー認証をして社内システムにアクセスしていたところを、登録済みの端末上でのSMS認証などに切り替えることで、業務の効率化が期待できます。
アクセス場所が制限されない
ゼロトラストではすべての通信を監視するため、従来の「このネットワーク・端末からしかアクセスできない」ということがなくなり、どこからでもアクセスすることができます。 例えば、いままではセキュリティ上の問題から、業務に必要な情報が社内からしかアクセスできないことがほとんどでした。 しかし、ゼロトラストセキュリティを導入することによって、自宅などからもそうした情報にアクセスすることができるようになり、テレワークでもこれまで通りの業務が可能になります。 特に最近は在宅ワークも増えてきているので、こういった考え方が重視されるようになりました。
ゼロトラストのデメリット
ゼロトラストのデメリット[/caption] 次にゼロトラストのデメリットを解説します。 強固で新たなセキュリティであるゼロトラストにも、やはりデメリットがあります。
導入・運用コストがかかる
ゼロトラストセキュリティは、対象のすべての通信に加え、エンドポイントとなるすべての端末の状況までを監視する、大規模なセキュリティです。 ですので、導入する際の初期費用や実装にかかる時間が、通常のセキュリティ対策よりも大きくなり、また、ランニングコストも発生します。
ゼロトラストでもセキュリティのリスクは残る
たとえゼロトラストセキュリティを導入したとしても、セキュリティ上のリスクはゼロにはなりません。 業務で使用する端末を別のネットワークで使用したときのマルウェアへの感染や、一度は信用できるとされた通信でも、少し後の状況は分からず、情報漏洩やマルウェアを完全に防ぐことは難しいです。 ゼロトラストセキュリティを導入したとしても、ファイアウォールやウイルス対策ソフトが不必要になるわけではなく、これらを併用していくことが望ましいでしょう。 加えて、送られてきたファイルを安易に開かないなど、ユーザー側がセキュリティを意識した行動をすることが必要です。
社内のエンジニアにもスキルが求められるようになる
社内でセキュリティを担当しているいわゆる「情報システム部門」の人間には、これまで以上にセキュリティに関する知識や経験が求められるようになります。 特に今まで導入していなかった新しい仕組みや技術に関するセキュリティリスクを判断したり、適切なウィルス対策をするための情報収集など、不可が大きくなると考えられます。
セキュリティに関する相談はAMELAに
セキュリティに関する相談はAMELAに[/caption] 今回は、ゼロトラストについて見てきましたが、様々な技術が出てくると同時に、セキュリティに関するリスクというのは常に考えないといけません。 特に顧客情報や製品情報など、非常に多くの情報資産が各企業に集まる昨今では、セキュリティは最重要事項と言っても過言ではありません。 もしも現在、自社のセキュリティに不安を感じている場合や、今後導入する予定のシステムについて不安がある場合、今の運用が正しいのか不安に感じている場合には、是非AMELAにご相談下さい。